DEX verificar definições para Windows

Gestão de operações de TI de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Gestão de operações de TI de Washington DC

ft:clusterId

itom

bundleId

itom

workflow

Technology

DEX verificar definições para Windows

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

9 min. de leitura

As definições de verificação para o Windows são conjuntos predeterminados de regras e critérios que avaliam o desempenho, a segurança e a conformidade dos dispositivos Windows. Essas verificações podem abranger vários aspectos, como uso de CPU, uso de memória, uso de E/S, status do firewall, testes de rede, bytes de rede e usuários conectados.

Para buscar os dados completos do playbook para um dispositivo Windows, o Agent Client Collector (ACC) deve ser executado como uma conta do sistema local. Para obter mais detalhes sobre como configurar o serviço ACC como uma conta do sistema local, consulte Executar Agent Client Collector como conta do sistema local.

Verificar definições - Aplicação (métricas)

DEX oferece as seguintes definições de verificação que podem ser acessadas somente quando a aplicação está em execução, com exceção das definições de verificação os.win.check-app-crash-rate e os.win.check-app-last-access-time, que podem ser acessadas mesmo quando a aplicação não está em execução. Nos parâmetros de definição de verificação:

appName = nome da aplicação. Por exemplo, Zoom.
appSysId= SYS ID da aplicação.
primaryProcess = lista de processos primários da aplicação separados por uma barra vertical (|). O primeiro processo existente no dispositivo de endpoint terá prioridade. Exemplo1: chrome.exe. Exemplo 2: teams.exe|msteams.exe.
Nota:
Se o processo primário da aplicação Teams no Windows 10 for teams.exe, enquanto no Windows 11 for msteams.exe, ao determinar a prioridade com base na disponibilidade do processo no dispositivo de endpoint, o processo que está presente primeiro no dispositivo de endpoint tem precedência.
secundárioProcessos = lista de processos secundários para a aplicação separados por um símbolo de pipe (|). Exemplo: cpthost.exe|cptservice.exe.


Verificar nome da definição	Verificar parâmetros de definição	Descrição
os.win.check-app-cpu-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica a quantidade de recursos da CPU que estão sendo usados pela aplicação.
os.win.check-app-memory-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica a quantidade de memória usada pela aplicação.
os.win.check-app-io-use-read	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica o uso pela aplicação de operações de E/S de leitura (entrada/saída).
os.win.check-app-io-usage-write	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica o uso pela aplicação de operações de E/S de gravação (entrada/saída).
os.win.check-app-last-access-time	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica a hora mais recente em que a aplicação foi executada ou executada. Nota: Esta definição de verificação não requer que a aplicação esteja em um estado em execução. Se a aplicação não tiver sido executada pelo usuário nos últimos 7 dias, a hora do último acesso ficará em branco. Se o caminho do processo da aplicação mudar em 7 dias (o que pode ocorrer durante as atualizações da aplicação), a hora do último acesso ficará em branco até que o usuário execute a aplicação novamente. Para modificar a política de retenção de 7 dias, o usuário pode fazer mudanças no caminho do registro descrito abaixo: Chave de registro: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM" Nome do registro: "UserSettingsLifetimeMs" Tipo de registro: REG_DWORD (valor de 32 bits) Valor do registro: duração em milissegundos
os.win.check-app-listening-ports	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Recupera os números de porta que estão abertas e pelas quais o tráfego de rede de entrada pode chegar à aplicação.
os.win.check-app-last-updated	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica a hora e a data da instalação da atualização mais recente da aplicação.
os.win.check-app-version	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Recupera o número da versão da aplicação. Nota: Se uma aplicação não tiver uma versão, a definição de verificação retornará a cadeia de caracteres "sem versões" para essa aplicação.
os.win.check-app-is-installed	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica se a aplicação está instalada ou não no dispositivo.
os.win.check-app-is-running	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica se a aplicação está em execução ou não.
os.win.check-app-crash-rate	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Recupera a taxa de falhas da aplicação. Esta definição de verificação é compatível com: Aplicativos que emitem um evento de falha do aplicativo de janela (ID do evento = 1000) ao travar, como Microsoft OneDrive, Microsoft Teams, Microsoft Excel, Microsoft OneNote, Microsoft PowerPoint, Microsoft Outlook, Microsoft Word. A aplicação Zoom. Nota: Esta definição de verificação não requer que a aplicação esteja em um estado em execução.
os.win.check-app-uptime	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Verifica o tempo de atividade da aplicação fornecida.

Verificar definições - Dispositivo (métricas)

DEX fornece os seguintes tipos de definições de verificação para o dispositivo.


Verificar nome da definição	Descrição
os.win.check-system-cpu-usage	Verifica a utilização atual da CPU.
os.win.check-system-cpu-details	Recupera o ID da CPU, o nome da CPU, o número de núcleos físicos e lógicos e as informações da arquitetura.
os.win.check-system-memory-usage	Verifica a utilização atual da memória do sistema.
os.win.check-system-uptime	Verifica o tempo decorrido desde a última inicialização do sistema.
os.win.check-system-disk-io-use-read	Recupera bytes de disco lidos por segundo.
os.win.check-system-disk-io-usage-write	Recupera bytes de disco gravados por segundo.
os.win.check-system-consumo-de- energia	Recupera os valores de consumo de energia para CPU, SoC, monitor, disco, rede, MBB, EMI, outro, total e perda de um dispositivo Windows em miliwatts-hora. Nota: Esta definição de verificação não é compatível com máquinas virtuais que não tenham sensores de energia.
os.win.check-system-time	Verifica a hora atual no Tempo Universal Coordenado (UTC) usando o carimbo de data/hora do Unix.
os.win.check-system-power-plan	Recupera o nome do plano de energia ativo.
os.win.check-system-os-details	Recupera o nome, versão, plataforma, arquitetura e data de instalação do sistema operacional.
os.win.check-system-stability-index	Recupera o índice de estabilidade do Windows em uma escala de 0 a 10.
os.win.check-system-device-details	Recupera o tipo, o modelo e o número de série do chassi.
os.win.check-system-disk-usage	Recupera o espaço usado em disco como uma porcentagem do espaço total.
os.win.check-system-battery-details	Recupera dados relacionados à bateria, incluindo a porcentagem restante da bateria, a voltagem projetada, o tempo de execução estimado e a capacidade máxima da bateria. Nota: Esta definição de verificação não pode ser aplicada a uma máquina virtual.
os.win.check-system-network-details	Recupera os detalhes da rede, incluindo Ethernet, Wi-Fi e outras informações relevantes.
os.win.check-system-disk-details	Recupera as informações do disco.
os.win.check-system-net-bytes-incoming	Verifica os bytes de rede de entrada por segundo em todos os dispositivos de rede.
os.win.check-system-net-bytes-outgoing	Verifica os bytes de rede de saída por segundo em todos os dispositivos de rede.
os.win.check-system-logged-in-users	Verifica o ID do usuário de login dos usuários que estão conectados ao dispositivo.
os.win.check-system-power-consumption	Recupera o consumo de energia do dispositivo em miliwatts. Nota: Esta definição de verificação é exclusivamente compatível com máquinas físicas e não oferece suporte a máquinas virtuais (VMs).
os.win.check-system-admin-users	Recupera todas as contas de usuário com privilégios administrativos locais.
os.win.check-system-bsod	Recupera a contagem, a mensagem, o ID, o nível e a hora das ocorrências da tela azul da morte (BSOD). Nota: Esta definição de verificação oferece suporte a BSOD que emite eventos do sistema com IDs de evento = 41,1001,6008.
os.win.check-system-pending-updates	Verifica o status das atualizações de software pendentes.
os.win.check-system-antivirus-enabled	Verifica se o antivírus está ativo e habilitado.
os.win.check-system-firewall-enabled	Verifica se o firewall do sistema operacional está ativo e habilitado.
os.win.check-system-antimalware-details	Recupera os detalhes do software antimalware no dispositivo.
os.win.check-system-bitlocker-details	Recupera as informações sobre volumes que o bitlocker pode proteger.
os.win.check-system-peripheral-devices-details	Recupera os detalhes dos dispositivos periféricos do dispositivo.
os.win.check-system-hard-drive-status	Recupera métricas de integridade do disco rígido.
os.win.check-system-reboot-details	Recupera a duração da reinicialização em segundos e o carimbo de data/hora da última reinicialização (em Unix). Nota: Os valores exibidos podem não refletir com precisão os casos em que as reinicializações do sistema foram interrompidas, como durante atualizações do sistema, perda de energia ou intervenção manual.
os.win.check-system-user-profiles	Recupera os detalhes dos perfis de usuário.

Verificar definições - Ações de diagnóstico

DEX fornece os seguintes tipos de definições de verificação para ações de diagnóstico.


Verificar nome da definição	Verificar parâmetros de definição	Descrição
Ação de diagnóstico
os.win.check-app-process-ids	--pid=<process name>	Recupera os IDs de processo (PIDs) dos processos primários e secundários associados à aplicação.
os.win.check-dns-lookup-test	--dns=<URL>	Conduz um teste de pesquisa de DNS no URL fornecido e retorna o endereço IP.
os.win.check-http-test	--http_test=<http URL>	Conduz um teste HTTP no URL fornecido e retorna o código de status da resposta.
os.win.check-ping-test	--ping=<URL>	Envia uma solicitação de ping para o URL fornecido e retorna o status de conectividade, indicando se o URL está acessível ou não.
os.win.check-process-cpu	N/D	Recupera uma lista de todos os processos em execução junto com a porcentagem de uso da CPU, tempo de CPU, ID de processo (PID), ID de processo primário (PPID) e nome.
os.win.check-process-memory	N/D	Recupera uma lista de todos os processos em execução junto com o uso de memória em kilobytes (KB), ID de processo (PID), ID de processo primário (PPID) e nome.
os.win.check-process-data	N/D	Recupera o uso da CPU, da memória e do disco de todos os processos em execução no momento.
os.win.check-process-disk	N/D	Recupera uma lista de todos os processos em execução junto com o uso de disco em bytes, ID de processo (PID), ID de processo primário (PPID) e nome.
os.win.check-rssi-value	N/D	Recupera o valor do indicador de força do sinal recebido (RSSI) para a interface Wi-Fi conectada no momento. RSSI indica a força do sinal entre o ponto de acesso sem fio (AP) e o dispositivo, com valores mais altos de RSSI indicando força de sinal mais forte. Nota: Esta definição de verificação não pode ser aplicada a uma máquina virtual.
os.win.check-traceroute	--traceroute=<url> --max_hops =<default value is 30> --timeout =<default value is 4>	Recupera o endereço IP, o nome do domínio e o tempo de ida e volta (RTT) para cada salto de rede.

Verificar definições - Ações corretivas

DEX fornece os seguintes tipos de definições de verificação para ações corretivas.


Verificar nome da definição	Verificar parâmetros de definição	Descrição
os.win.action-kill-process	--pid=<process id> OU --app_name=<list of comma separated executable file names> Nota: O ID do processo tem prioridade sobre o nome da aplicação.	Encerra um processo em execução ou vários processos especificados por seu ID de processo (PID) ou uma lista de nomes de arquivos executáveis (.exe).
os.win.action-restart-service	--service_name=<service name>	Reinicia os serviços de usuário conectado que usam um nome de serviço como entrada para o sistema.
os.win.action-flush-dns-cache	N/D	Limpa o cache DNS em um dispositivo Windows.
os.win.action-clear-browser-cache	--auto_close =<true/false> Nota: Quando o fechamento automático está habilitado, ao limpar o cache do navegador, o navegador é fechado e vice-versa. --navegadores =<List of comma separated browsers>	Limpa o cache dos navegadores compatíveis, como Google Chrome,Mozilla Firefox e Microsoft Edge. Nota: Antes de executar esta verificação de definição, certifique-se de salvar o trabalho do navegador.